适用于 Amazon Server Migration Service 的 Identity and Access Management - Amazon Server Migration Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

产品更新

我们建议AmazonApplication Migration Service(AmazonMGN) 作为主要的迁移服务 lift-and-shift 迁移。如果AmazonMGN 在特定版本中不可用Amazon区域,你可以使用Amazon SMSAPI直到 2023 年 3 月。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于 Amazon Server Migration Service 的 Identity and Access Management

Amazon Identity and Access Management (IAM) 是一种 Amazon 服务,可以帮助管理员安全地控制对 Amazon 资源的访问。IAM 管理员控制谁可以通过身份验证(登录)和授权(具有权限)使用。Amazon资源的费用。IAM 允许您在您的下创建用户和组Amazonaccount. 要控制用户执行任务所必需的权限Amazon资源的费用。您可以使用 IAM,避免额外的费用。

默认情况下,IAM 用户没有权管理Amazon Server Migration Service(Amazon SMS)资源和操作。要允许 IAM 用户管理Amazon SMS资源,您必须创建一个 IAM 策略以明确向他们授予权限,并将该策略附加到需要这些权限的 IAM 用户或组。

在将策略附加到一个用户或一组用户时,它会授权或拒绝用户使用指定资源执行指定任务。有关更多信息,请参阅 。策略和权限中的IAM 用户指南指南。

策略结构

IAM 策略是包含一个或多个语句的 JSON 文档。每个语句的结构如下。

{ "Statement": [ { "Effect": "effect", "Action": "action", "Resource": "arn", "Condition": { "condition": { "key":"value" } } } ] }

组成语句的各个元素如下:

  • Effect:此 effect 可以是Allow要么Deny. 在默认情况下,IAM 用户没有使用资源和 API 操作的许可,因此,所有请求均会被拒绝。显式允许将覆盖默认规则。显式拒绝将覆盖任何允许。

  • 操作:行动是具体的Amazon SMS对其授予或拒绝权限的 API 操作。

  • 资源:Actions 影响的资源。对于 Amazon SMS,您必须指定“*”作为资源。

  • Condition:此 effect 是可选的。它们可以用于控制策略生效的时间。

示例策略

在 IAM 策略语句中,您可以从支持 IAM 的任何服务中指定任何 API 操作。对于 Amazon SMS,请使用以下前缀为 API 操作命名:sms:,如下所示。

"Action": "sms:UpdateReplicationJob"

要在单个语句中指定多项操作,请使用逗号将它们隔开,如下所示。

{ "Statement":[ { "Effect": "Allow", "Action": ["sms:action1", "sms:action2"], "Resource": "*" } ] }

您也可以使用通配符指定多项操作。例如,您可以指定名称以单词“Get”开头的所有 Amazon SMS API 操作,如下所示:

{ "Statement":[ { "Effect": "Allow", "Action": "sms:Get*", "Resource": "*" } ] }

要指定所有 Amazon SMS API 操作,请使用 * 通配符,如下所示:

{ "Statement":[ { "Effect": "Allow", "Action": "sms:*", "Resource": "*" } ] }

要防止用户在复制后启用自动启动,请使用以下语句。省略是不够的sms:LaunchApp从允许的操作列表中,因为使用自动启动,用户无法调用LaunchApp直接。

{ "Statement":[ { "Effect": "Deny", "Action": "sms:LaunchApp", "Resource": "*" } ] }

预定义的 Amazon 托管策略

Amazon 创建的托管策略将授予针对常用案例的必要权限。您可以根据您的 IAM 用户对的访问权限将这些策略附加到Amazon他们需要的。